558  保險業作業委託他人處理應注意事項


          十七之一、 保險業將作業委託他人處理涉及使用雲端服務，應依下列規定辦理：
                    ( 一 )  保險業應確保作業風險控管，充分評估受託機構處理之風險，
                         採取適當風險管控措施，確保作業委外處理之品質，並應注
                         意作業委託雲端服務業者之適度分散。
                    ( 二 )  保險業對雲端服務業者負有最終監督義務，並應具有專業技
                         術及資源監督雲端服務業者執行受託作業，並得視需要委託
                         專業第三人以輔助其監督作業。
                    ( 三 )  保險業應確保其本身及主管機關，或其指定之人能取得雲端
                         服務業者執行受託作業之相關資訊，包括客戶資訊及相關系
                         統之查核報告，及實地查核權力。
                    ( 四)  保險業得自行委託，或與委託同一雲端服務業者之其他保險業
                         聯合委託具資訊專業之獨立第三人查核，並應符合下列規定：
                         1. 確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要
                           系統及控制環節。
                         2. 應評估第三人之適格性，以及其所出具查核報告內容之妥適
                           性並符合相關國際資訊安全標準。
                         3. 應針對保險業所委託作業範圍進行查核並出具報告。
                    ( 五 )  保險業傳輸及儲存客戶資料至雲端服務業者，應採行客戶資
                         料加密或代碼化等有效保護措施，並應訂定妥適之加密金鑰
                         管理機制。
                    ( 六 )  對委託雲端服務業者處理之資料應保有完整所有權，除執行
                         受託作業外，保險業應確保雲端服務業者不得有存取客戶資
                         料之權限，並不得為委託範圍以外之利用。
                    ( 七 )  委託雲端服務業者處理之客戶資料及其儲存地以位於我國境
                         內為原則，如位於境外，應依下列規定辦理：
                         1. 保險業須保有其指定資料處理及儲存地之權力。
                         2. 境外當地資料保護法規不得低於我國要求。
                         3. 除主管機關核准外，客戶重要資料應在我國留存備份。
                    ( 八 )  保險業應訂定妥適之緊急應變計畫，降低因作業委託而可能
                         有服務中斷之風險。保險業終止或結束作業委託，應確保能
                         順利移轉至另一雲端服務業者或移回自行處理，並確保原受
                         託雲端服務業者留存資料全數刪除或銷毀，並留存刪除或銷
                         毀之紀錄。